COSO1992的全稱是《內部控制-整體框架》(Internal Control-Integrated Framework)弄唧,主要內容是三目標五要素广匙,三目標是經營增效斗搞、財報質量和法律合規(guī)捷泞,五要素是控制環(huán)境钱反、風險評估、控制活動眨层、信息和交流庙楚、監(jiān)控。
在實踐過程中趴樱,COSO1992被認為存在一些方面的局限性馒闷,包括對董事會作用認識的不夠充分酪捡、內部控制管理報告內容局限于財報和固定時點、內部控制系統(tǒng)不涉及戰(zhàn)略規(guī)劃/風險評估/風險管理窜司、內部控制的有效性評價方法基本是主管判斷等。作為COSO1992的起草者航揉,COSO委員會即美國全國虛假財務報告委員會The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting(下屬Treadway委員會)對1992版本進行了重大更新塞祈,并于2004年9月提出了新版本的框架-《企業(yè)風險管理-整體框架》(Enterprise Risk Management-Integrated Framework)。
值得一提的是帅涂,2006年议薪,我國國資委發(fā)布《中央企業(yè)全面風險管理指引》,指引借鑒了COSO1992媳友、COSO2004斯议、薩班斯法案及其他各國風險管理標準,提出企業(yè)風險管理包括三部分:風險管理流程醇锚、風險管理體系和風險管理解決方案哼御。流程包括初始信息收集、風險評估焊唬、風險管理策略恋昼、解決方案的設計和實施、監(jiān)督和改進赶促。管理體系包括組織體系和信息系統(tǒng)液肌。管理文化包括目標、內涵和培育方法鸥滨。
對比國資委《中央企業(yè)全面風險管理指引》和COSO1992嗦哆、COSO2004,可以看出風險管理概念在20世紀末婿滓、21世紀初國內國際的一系列風險事件爆發(fā)后老速,逐漸深入人心,被廣為接受凸主。COSO2004作為引領潮流的風險管理框架烁峭,具體是什么內容呢?
首先回顧1992版本與2004版本在主要結構與內容上的區(qū)別:
在框架內容上秕铛,從三目標五要素更新為四目標八要素约郁;在實施對象上,從業(yè)務單位-具體活動的簡單結構擴張到董事會-部門-業(yè)務單位-附屬機構的多維度結構但两。
圖中COSO2004為英文鬓梅,其四目標的中文含義是:戰(zhàn)略、經營谨湘、報告與合規(guī)绽快。做適當的延申理解芥丧,其含義應當是支持戰(zhàn)略決策、提升經營績效坊罢、保證報告質量续担、符合法律法規(guī)。八要素的中文含義是:內部環(huán)境活孩、目標設置物遇、事項識別、風險評估憾儒、風險應對询兴、控制活動、信息與溝通起趾、監(jiān)督檢查诗舰。側面的實施對象為董事會-部門-業(yè)務單位-附屬機構。
與COSO2004內部控制框架一樣训裆,目標與要素的關系是相互交叉關聯(lián)的眶根,每一個要素的實施都與目標的達成有關。對比2004與1992版本中要素的區(qū)別边琉,風險評估汛闸、控制活動、監(jiān)控艺骂、信息與溝通依然保留诸老,控制環(huán)境被內部環(huán)境取代,增加了目標設置钳恕、事項識別别伏、風險應對三個要素。而目標在兩個版本中的區(qū)別則非常明顯忧额,2004版增加了戰(zhàn)略厘肮。
聯(lián)系目標與要素的變化,要素目標設置的含義被解釋為管理者制定企業(yè)的戰(zhàn)略目標睦番、選擇戰(zhàn)略方案类茂、確定相關的子目標并在企業(yè)內層層分解和落實⊥邢可以認為直接與戰(zhàn)略目標的實現(xiàn)相關巩检。
事項識別要素可以認為是對原風險評估要素的延申細化,事項識別要素的含義是管理者考慮會影響事項發(fā)生的各種企業(yè)內外因素示启,嘗試識別某一事項是否會發(fā)生兢哭、何時發(fā)生、結果如何夫嗓。風險評估使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)迟螺,管理者應從風險發(fā)生的可能性與造成的影響程度評估風險冲秽。事項識別-風險評估-風險應對密不可分。
風險應對要素的出現(xiàn)應當被視為2004版本框架相對于1992版本的重要改變矩父,是對1992內部控制框架被動風險管理局限性的修正锉桑。提出了風險容忍度與成本效益原則下風險反應方案的設計與執(zhí)行。這是主動的窍株、預測性的風險管理措施民轴。
從1992框架的“控制環(huán)境”到2004版本的“內部環(huán)境”,將風險管理框架的要求拓展到控制系統(tǒng)之外夹姥,涵蓋了組織杉武、戰(zhàn)略辙诞、文化的部分辙售,我認為是此處變化的主要含義,歡迎探討飞涂。
除了這些重大變化旦部,2004版本框架對重要概念的定義也是我們所關心的。
在這一版本中较店,“風險”被定義為“一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性”士八。而與之相對的,“機會”被定義為“一個事項將會發(fā)生并給目標實現(xiàn)帶來正面影響的可能性”梁呈。價值的保值與增值被認為是“機會”所特有的婚度。“事項”被認為是“源于內部或外部的影響目標實現(xiàn)的事故或事件”官卡。
“企業(yè)風險管理”被定義為“一個過程蝗茁,由一個主體的董事會、管理當局和其他人員實施寻咒,應用于戰(zhàn)略制定并貫穿于企業(yè)之中哮翘,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內毛秘,并為主體目標的實現(xiàn)提供合理保證”饭寺。具體的目標內容不屬于企業(yè)風險管理的范疇,但制定該目標的過程則是企業(yè)風險管理關心的一部分叫挟。
首先艰匙,企業(yè)風險管理被認為是一個過程;其次抹恳,風險容量在這個過程中至關重要旬薯,在既定戰(zhàn)略之下將指導資源配置。風險容量被認為是主體內部環(huán)境的一部分适秩。
那么绊序,如何評價COSO2004框架下企業(yè)風險管理的有效性呢硕舆?
1、這八個要素都必須正常存在和運行骤公。在小型機構之中抚官,各個構成要素的方法可能不太正式或健全,但在每一個主體中這些基本的概念都應當存在阶捆。
2凌节、通常一個主體作為整體評價風險管理有效性,例如董事會必須存在洒试。但也存在單獨評價一個業(yè)務單元的情況倍奢,此時,只有存在類似的機構提供此要素的功能垒棋,該單元的風險管理才能被認為有效卒煞。
實際上如何檢驗和確保有效性的問題,并未在框架中得到一個明顯的解決方案叼架。如何評價風險管理的有效性是我非常困惑的地方畔裕。
最后還有一個明顯的疑問:“內部控制與風險管理的關系是怎樣的?”
COSO2004給出了觀點“內部控制是企業(yè)風險管理不可分割的一部分乖订,這份企業(yè)風險管理框架涵蓋了內部控制扮饶,從而構建一個更強有力的概念和管理工具”:
1、全面風險管理(企業(yè)風險管理的另一個名字)涵蓋了內部控制乍构,內部控制是風險管理的子系統(tǒng)甜无。
2、內部控制是全面風險管理的必要環(huán)節(jié)哥遮。內部控制的動力來自企業(yè)對風險的認識和管理岂丘。對于企業(yè)面臨的大部分運營風險、或者說企業(yè)的所有業(yè)務流程之中的風險昔善,內部控制系統(tǒng)是必要的元潘、有效的風險管理方法。同時君仆,維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的基本要求翩概。因此,滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建設起來之后應該達到的狀態(tài)返咱。
3钥庇、兩者在活動上不一致,全面風險管理包含的風險管理目標和戰(zhàn)略的設定咖摹、風險評估方法的選擇评姨、管理人員的聘用、有關的預算和行政管理以及報告程序等活動都不在內部控制的范圍內。而對風險進行評估吐句、控制活動胁后、信息與交流活動及監(jiān)察糾正是都包含的。內部控制沒有將企業(yè)戰(zhàn)略考慮在框架之中嗦枢。這也是上文中強調的COSO1992與COSO2004在目標上的區(qū)別攀芯。
4、兩者對風險的對策不一致文虏,全面風險管理提出風險偏好侣诺、風險容忍度、風險對策氧秘、壓力測試年鸳、情景分析等概念與方法,有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相適配丸相,聯(lián)系風險搔确、增長與匯報,參與經濟資本的分配已添,支持業(yè)務決策妥箕。內部控制缺乏這些手段滥酥「瑁可以說這是COSO1992與COSO2004在目標-要素上的區(qū)別。
